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-|0 La presente invention se rapporte a un dispositif et a un proc6de de 

protection de donnees sensibles et a une machine a affranchir les mettant en 
oeuvre. 

Elle s'applique en particulier aux machines a affranchir dotees d'un 
programme s'executant dans un environnement multi-taches et plus 
15 generalement a la protection de donnees sensibles, representant par exemple, 
des sommes d'argent, ou de taches sensibles manipulant les donnees 
sensibles. 

Dans un environnement multitaches, chaque tache peut appeler 
chaque routine, quelle que soit la securite necessaire sur ladite routine. Dans 
20 une machine a affranchir, certaines taches mettent en oeuvre des montants 
representant des sommes d'argent. En particulier, les phases d'exploitation 
d'une machine d'affranchissement ou de recharge utilisent les routines qui 
manipulent des sommes d'argent. 

La mise en oeuvre correcte de chacune de ces taches doit etre 
25 garantie. On entend par mise en oeuvre correcte. le fait qu'une tache s'execute 
dans le cadre normal du fonctionnement de la machine. En d'autres termes, 
rinvention vise a empecher que des donnees sensibles ne soient alterees ou 
modifiees de maniere inopportune. 

A cet effet, la presente invention vise a ce que au moins une routine 
30 agissant sur des donnees sensibles verifie Tidentite de taches qui lui font appel. 
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Ainsi, si une t§che non autorisee tente de faire appel a ladite routine, 
celle-ci peut limiter son ex6cutbn et done eviter de porter atteinte aux donn6es 
sensibles consid6r6es, 

Selon un premier aspect, la presente invention vise un precede de 
5 protection de donnees sensibles contre I'usage d'une routine agissant sur 
lesdites donnees, caract§ris§ en ce qu'il comporte, mise en oeuvre par ladite 
routine, une operation de verification d'identite de chaque tache logicielle 
appelant ladite routine. 

Grace a ces dispositions, si une t§che non autorisee est utilisee pour 
10 acceder a ladite routine qui utilise des donnees sensibles. en verifiant son 
identite, cette routine detecte qu'elle n'est pas autorisee et empeche TaccSs aux 
donnees sensibles consider6es. 

Dans le cas d'une machine ii affranchir, par exemple, les routines 
concernees comportent la routine d'incrementation du compteur de montant 
15 d'affranchissement consomme et de decrementation du compteur de montant 
d'affranehissement restant disponible et la routine d'incrementation du compteur 
de nombre d'affranchissement effectu6s. 

Selon des caracteristiques particulieres, ladite operation de 
verification comporte une operation de lecture d'un identifiant de ladite tache et 
20 une operation de comparalson dudit identifiant, d'une part, et d'identifiants 
predetemnines, d'autre part. 

Grace a ces dispositions, toutes les taches autorisees a mettre en 
oeuvre la routine en question sont identifiees dans une liste particuliere, ce qui 
facilite la programmation de la routine et la mise a jour de cette programmation. 
25 Selon d'autres caracteristiques particulieres, chaque routine agissant 

sur lesdites donn6es met en oeuvre ladite operation de verification. 

Grace a ces dispositions, quelle que soit la routine qui tente 
d'acceder aux donnees sensibles, la protection offerte par la presente invention 
est assuree par ladite routine. 
30 Selon un deuxi^me aspect, la presente invention vise un dispositif de 

protection de donnees sensibles contre I'usage d'une routine agissant sur 
lesdites donnees, caracterise en ce qu'il comporte un moyen de verification 
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adapte a verifier I'identit6 de chaque tache logicielle appelant ladite routine, le 

moyen de verification §tant mis en oeuvre par ladite routine. 

L'invention vise, aussi, une machine a affranchir, caracteris§e en ce 

qu'elle comporte un dispositif tel que succinctement expos6 ci-dessus. 
5 L'invention vise aussi : 

- un moyen de stockage d'informations lisible par un ordinateur ou 

un microprocesseur conservant des instoictions d'un programme informatique 

caracterise en ce qu'il permet la mise en oeuvre du precede de l'invention telle 

que succinctement exposee cl-dessus, et 
^0 - un moyen de stockage d'informations amovible, partiellement ou 

totalement, et lisible par un ordinateur ou un microprocesseur conservant des 

instnjctions d'un programme informatique caracterls6 en ce qu'il permet la mise 

en oeuvre du proc6d6 de l'invention telle que succinctement expos6e ci-dessus. 

Ce dispositif, cette machine a affranchir et ces moyens de stockage 
15 presentant les memes caracteristiques particulieres et les memes avantages 

que le precede succinctement expos§ ci-dessus, ces avantages ne sont pas 

rappeles ici. 

D'autres avantages, buts et caracteristiques ressortiront de la 
description qui va suivre, faite en regard des dessins annexes dans lesquels : 
20 - les figures 1 A et 1 B representent, respectivement en vue de dessus 

et en Elevation, une machine a affranchir mettant en oeuvre le dispositif et le 
precede de protection de donnees objets de la presente invention, 

- la figure 2 represente. schematiquement, un circuit electronique 
incorpore dans la machine a affranchir illustree en figures 1 A et 1 B, et 
25 - la figure 3 repr6sente un algorithme de fonctlonnement du circuit 

electronique illustr6 en figure 2. 

La machine a affranchir 1 illustree sur les dessins (figures 1A et 1B) 
comporte un dispositif pour imprimer, sur un objet plat tel que la lettre 2, d'une 
part, une marque d'affranchissement et, 6ventuellement, une adresse de 
30 destination de I'enveloppe. 

Pour imprimer la marque d'affranchissement sur I'emplacement 
normalise pr6vu a cet effet, il faut faire passer la lettre 2 dans un couloir 5 que 
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comporte la machine 1 , ce couloir etant d6limite par des elements solidaires du 
bati, respectivement un support de glissement 6 qui forme le plafond du couloir 
5, une table 7 qui en forme le plancher et une rampe qui en forme une limite 
laterale, le couloir 6tant ouvert a roppos6 de cette rampe. 
5 Pour faire passer la lettre 2 dans le couloir 5, on pose la lettre sur la 

partie de la table 7 qui est en saillie du c6t6 prevu pour I'introduction (c6t6 que 
Ton voit a gauche en figure 1B) puis on fait rentrer la lettre dans le couloir 5, 
comme montre en figures 1A et 1B, jusqu'a ce qu'elle soit entraTn§e par les 
moyens pr6vus a cet effet dans la machine 1, I'impression de la marque 
10 d'affranchissement s'effectuant automatiquement pendant que la lettre 2 est 
entraTnee dans le couloir 5, la lettre affranchie 6tant expulsee de la machine a 
I'autre extremite du couloir 5 (extremity que I'on voit a droite en figure 1B). 

Pour entratner la lettre 2, la machine 1 comporte deux galets 9 et 10 
passant chacun au travers d'une ouverture de la table 7, et deux contre-galets 
15 12 et 13, respectivement pour le galet 9 et pour le galet 10, passant au travers 
d'une ouverture du support 6. 

Les galets 9 et 1 0 sont monies a rotation par rapport au b§ti de la 
machine 1, par I'intermediaire de moyens de suspension 14 montres 
schematiquement sur la figure 18. 
20 Les contre-galets 12 et 13 sont months ^ rotation sur le bSti de la 

machine 1, sans etre suspendus par rapport a celui-ci. Un moteur 6lectrique 
non represente sert a entraTner en rotation synchrone les contre-galets 12 et 
13, par exemple par I'intemnediaire d'une courroie (non representee) qui toume 
autour de trois pignons port6s respectivement par le moteur, par le contre-galet 
25 1 2 et par le contre-galet 1 3. 

Etant donne que les moyens de suspension 14 sollicitent les galets 9 
et 10 vers le support 6, etdonc vers les contre-galets 12 et 13, les galets 9 et 
10 sont entraines par friction sur les contre-galets 12 et 13, directement ou par 
I'intermediaire d'un objet, tel que la lettre 2, en cours de passage dans la 
30 machine 1 . 

La lettre 2, lorsqu'elle est introduite dans le couloir 5 comme montre 
sur la figure IB, finit par rencontrer le galet 9 puis le contre-galet 12 qui 
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TentraTne dans le sens indique sur la figure 1B par la fl^che horizontale orientee 
de gauche ^ droite. Simultanement. le galet 9 s'abaisse tandis que la lettre 2 
s'introdult entre les galets 9 et 12 de sorte que la lettre 2 progresse dans la 
machine 1 avec sa face a imprimer 4 qui est plaqu6e et qui glisse contra la 

5 surface 1 7 du support de glissement 6. 

Pour imprimer la marque d'affranchissement a remplacement 
normalise qui lui con-espond et/ou I'adresse de destination a I'emplacement 
normalise qui lui correspond, la machine 1 comporte des moyens d'impression 
1 9 montr§s tr6s schematiquement sur la figures 1 A et 1 B. 

-JO D'une fagon generale, les moyens d'impression 19 deposent la 

marque d'affranchissement pendant que la lettre 2 ou I'objet § affranchir circule 
dans la machine 1 avec sa face a imprimer qui est plaqu6e centre la surface 17 
du support de glissement 6, les moyens 19 etant situ6s entre les contre-galets 
12 et 13. 

15 Dans I'exemple illustr6, les moyens d'impression 19 sont montes 

directement sur le bati de la machine, et sont done fixes par rapport au support 
de glissement 6. 

Afin que les moyens d'impression 19 soient command6s en 
synchronisme avec I'avancement de I'objet dans la machine, il est pr6vu un 
20 detecteur de presence de I'objet (reference 110 en figure 2) qui declenche un 
processus d'impression se deroulant automatiquement. 

Plus precisement, il existe un premier detecteur de presence qui 
commando la mise en route du moteur (non represente) lorsqu'un objet 
commence a etre introduit dans la machine 1 . et un deuxieme detecteur de 
25 presence (non represente) qui declenche le processus d'impression lorsque 
I'objet est parvenu a un emplacement predetermine. 

En figure 2. est represents un circuit 6iectronique de commande du 
dispositif tel que presente en figures 1A et IB. Ce circuit est illustr6 sous forme 
de schema synoptique et represente sous reference generale 100. II comporte, 
30 reli6s entre eux par un bus d'adresses et de donn6es 102 : 
une unit6 centrale de traitement 1 06 ; 
une memoire vive RAM 104 ; 
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une memoire morte ROM 105 ; 

un port d'entree sortie 103 servant a recevoir : 

• le poids de I'objet postal a affranchir, at 

• la detection de I'objet postal par chacun des detecteurs (non 
5 representee aux figures) 

at a transmettre : 

• des signaux de commande de moteurs, et 
et, independamment du bus 102 : 

des moteurs pas-^-pas 109 ; 
10 - des detecteurs de presence 110; 

un ecran de visualisation 108 relie au port d'entree/sortie 103 ; 

une balance 112 reli6e au port d'entree/sortie 103 et fournissant des 

octets representatifs du poids d'un objet postal ; 

un clavier 101 reli§ au port d'entree/sortie 103 et fournissant des octets 
15 representatifs des touclies de clavier successivement utilisees ; et 

un controleur d'impression 120 qui commande le fonctionnement des 
moyens d'impression 19. 

Chacun des elements illustres en figure 2 est bien connu de I'homme 
du metier des machines a affranchir possedant un circuit a microprocesseur et, 
20 plus generalement, des systemes de traitement de rinformation. Ces elements 
ne sont done pas decrits ici. 

La memoire vive 104 conserve des donnees, des variables et des 
resultats intermediaires de traitement. dans des registres de memoire portent, 
dans la suite de la description, les memes noms que les donnees dont ils 
25 conservent les valeurs. La memoire vive 104 comporte notamment des 
registres conservant des informations representatives du poids de I'objet postal 
a affranchir. le format de I'objet postal en cours de traitement, le nombre 
d'objets postaux dans le lot en cours de traitement. des valeurs de compteurs 
ascendant et descendant qui correspondent a des montants d'affranchissement 
30 deja deposes et restant a deposer avant le rechargement de la machine. Ces 
derniers registres fonctionnent selon des techniques connues dans le domaine 
des machines a affranchir (au cours de chaque affranchissement. lorsque le 



montant du compteur descendant est superieur au montant de la marque 
d'affranchissement a deposer. il est decremente du montant de cette marque et 
le compteur ascendant est incr6mente du meme montant). 

La memoire morte 105 est adaptee a conserver le programme de 
fonctionnement de Tunite oentrale de traitement 106, dans un registre 
" programi et les donnees necessaires au fonctionnement de ce programme 
ainsi que la table de correspondance mettant en relation des poids. d'une part, 
a des montants d'affranchissement, d'autre part. 

La memoire morte 105 conserve, en outre, dans un registre 
"liste_d'identifiants'\ une liste d'identifiants de taches logicielles autoris6es a 
acceder aux routines qui utilisent des donnees sensibles (ici des montants 
d'affranchissement). 

En fait, la memoire dite "morte" 105 est une memoire reinscriptible 
qui ne s'efface pas lorsque le dispositif est eteint. Elle n'est reinscriptible que 
selon des procedures securisees et seulement par certaines personnes 
habilitees, si bien que, pour Tutiiisateur quotidien, elle apparaTt comme une 
memoire morte. 

L'unite centrale de traitement 106 est adaptee a mettre en oeuvre le 
programme conserve en memoire morte 105, programme dont un algorithme de 
fonctionnement est illustre en figure 3. 

Le programme ou logiciel de la machine a affranchir est un logiciel 
multitache, ce qui implique une allocation, par le processeur, d'un espace 
memoire, ou pile, associe a chaque tache. Get espace memoire est contenu 
dans la memoire vive 104. 

Au cours d'une operation 301 : 

- la carte electronique 10 est initialisee par I'unite centrale de 
traitement 106, selon des techniques connues, et 

- I'unite centrale de traitement 106 attribue un identifiant (constitue ici 
d'un numero) a chaque tache de Tapplication. 

Au cours d'une operation 302, I'unite centrale 106 execute une partie 
de programme ne necessitant aucun appel ^ une routine utilisant des donn6es 
sensibles. 
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Au cours d'une operation 303, 1'unite centrale 106 met en oeuvre una 
tache qui fait appel a Tune des routines qui utilisent les donnees sensibles. 

Au cours d'une operation 304, la routine 400 consid6ree 
(representees en traits discontinus) lit I'identifiant de la tache en cours 
5 d'ex6cution en faisant appel S une routine dite "systeme" de type connu, 
destin6e a cette lecture. 

Ensuite, au cours d'un test 305, la routine 400 compare I'identifiant ^ 
de la tache au contenu de la liste d'identifiants conserves en memoire morte 
105 et determine si cet identifiant de tache se trouve dans la liste. 
-10 Lorsque le resultat du test 305 est positif, la tache est autorisee a 

acceder a la routine et I'utilisation de donnees sensibles est execut6e, au cours ^ 
d'une operation 306. Puis I'unite centrale 106 retourne au fonctlonnement 
represents en 302. 

Lorsque le resultat du test 305 est negatif, la tache n'est pas 
15 autorisee a acceder a la routine. Le fohctionnement de I'unite centrale 106 est 
alors arretee et une alarme est declenchee, operation 307, jusqu'a ce que la 
machine a affranchir soit mise hors tension, operation 308. 

On comprend que le precede de protection de donnees sensibles 
centre Tusage d'une routine agissant sur lesdites donnees vise par la presente 
20 invention comporte, mise en oeuvre par ladite routine, une operation 400 de 
verification d'identite de chaque tache logicielle appelant ladite routine. 

On comprend aisement que, grace a I'organisation de la tache 400, ^ 
et, en particulier, grace a la surveillance de I'identite des taches qui font appel ^ 
elle, la modification des donnees sensibles, par ie biais de cette routine est 
25 impossible. 

En variante, les routines 400 (c'est-a-dire celles qui verifient I'identite 
de la tache les appelant avant d'effectuer un acces a des donnees sensibles) 
comportent non seulement les routines qui accedent aux compteurs de montant 
d'affranchissement. mais aussi des routines agissant sur des donnees 
30 statistiques ou des parametres de fonctlonnement de la machine a affranchir. 

Dans le mode de realisation decrit et represents, ladite operation de 
verification 400 comporte une operation de lecture d'un identifiant de ladite 



tache 304 et une operation de comparaison 305 dudit identifiant, d'une part, et 
d'identifiants predetermines, d'autre part. 

Dans le mode de realisation decrit et represente, chaque routine 
agissant sur les donnees sensibles met en oeuvre ladite operation de 
5 verification 400. 

Le dispositif de protection de donnees sensibles centre Tusage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte, comme 
moyen de verification I'unite centrale 106, associee aux memoires 104 et 105, 
pour verifier I'identite de chaque tache logicielle appelant ladite routine, ce 
10 moyen de verification etant mis en oeuvre par ladite routine. 
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REVENDICATIONS 



1 . Precede de protection de donnees sensibles contra Tusage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte, mise en 
oeuvre par ladite routine, une operation de verification d'identite de chaque 

5 tache logicielle appelant ladite routine (400). 

2, Procede de protection selon la revendication 1 , caracteris6 en ce 

que ladite operation de verification (400) comporte une operation de lecture t 
d'un identifiant de ladite tache (304) et une operation de comparaison (305) 
dudit identifiant, d'une part, et d'identifiants predetermines, d'autre part. 
-10 3, Procede de protection selon Tune quelconque des revendications 

1 ou 2, caracterise en ce que cliaque routine agissant sur lesdites donnees met ^ 
en oeuvre ladite operation de verification (400). 
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4. Dispositif de protection de donnees sensibles centre I'usage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte un 
moyen de verification (104, 105, 106) adapte a verifier I'identite de chaque 
tache logicielle appelant ladite routine, le moyen de verification etant mis en 
oeuvre par ladite routine. 

5. Dispositif de protection selon la revendication 4, caracterise en ce 
que ledit moyen de verification (104, 105, 106) comporte un moyen de lecture 
(104, 105, 106) d'un identifiant de ladite tSche et un moyen de comparaison 
(104, 105. 106) dudit identifiant, d'une part, et d'identifiants predetermines, 
d'autre part. 

6. Procede de protection selon I'une quelconque des revendications 
4 ou 5, caracterise en ce que chaque routine agissant sur lesdites donn§es met 
en oeuvre ledit moyen de verification (104. 105, 106). 

7. Machine a affranchir (1), caracterisee en ce qu'elle comporte un 
dispositif selon I'une quelconque des revendications 4 a 6. 
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